参照公网SSL证书应用生态,打造内网SSL证书应用生态
2024年4月22日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

证签品牌内网SSL证书今天正式上线了,从去年5月计划开发内网SSL证书,到今天内网SSL证书上线,历时将近一年。大家一定会很好奇,为何需要耗时这么久?因为这是在打造一个全球还没有的内网SSL 证书应用生态,而不仅仅是简单的签发一张SSL证书。本文详细讲解零信技术是如何打造这个生态的。

一、内网HTTP流量安全问题很严重

目前内网HTTP流量的现状是:要么明文HTTP裸奔,要么部署一个所有浏览器都不信任的自签证书,两种情况所有浏览器都会提示“不安全”。某零信浏览器用户已经在内网部署了浏览器不信任的SSL证书,问我们怎样才能消除这个不安全警告,我们告诉用户把签发此内网SSL证书的根证书手动安装信任即可,结果还是不行,就让用户把他们系统部署的SSL证书发给我们看看,一看才知道为何即使手动信任根证书还是有安全警告了。因为这张SSL证书有如下多个重大安全问题:

  • 证书公钥为RSA 1024位,非常不安全!国际标准要求2010年12月31日停止签发1024位证书,并于2013年12月31日禁用1024位证书,国家密码管理部门也已发类似通知要求,但是居然这么重要的内网系统在十三年后的今天还在使用1024位RSA算法SSL证书!
  • 证书签名算法为SHA-1,非常不安全!国际标准要求在2015年12月31日停止签发SHA1证书,7年后的现在一个非常重要的内网系统还在使用RSA算法SHA-1证书!
  • 证书没有使用者可选名称(SAN)字段,只有CN字段=10.142.xx.xx的IP地址,这是一个大问题,因为浏览器验证SSL证书绑定的域名或IP地址是读取SAN字段信息的,没有这个字段就无法判断证书绑定的IP地址是否同用户正在访问的网站IP地址一致,当然会有“不安全”警告。
  • 证书没有“服务器身份验证和客户端身份验证”的增强密钥用法(EKU),那一定是无法实现双向认证的。
  • 证书没有必须有的(Critical)“密钥用法”,这也是一个非常严重的问题。
  • 证书没有证书策略字段,也没有证书透明SCT列表。
  • 证书没有可访问的吊销列表和授权信息访问(AIA)网址,反正是内网无法访问外网,这还可以接受。
  • 这张SSL证书在内网使用,绑定的是内网IP地址10.142.xx.xx,这个不是问题,但是这张SSL证书已经过期一年多了,现在还在使用,这是大问题。

这么多严重安全问题的SSL证书居然还在非常重要内网机密管理系统使用,用户反问我们:某某浏览器能正常使用,为何零信浏览器就不能正常使用呢?我们客服被问住了,只好问我应该怎么回答用户的问题,我也是一时无语,心想这个能“正常”使用的浏览器还能称之为“浏览器”吗?网站部署的SSL证书有这么多不安全的问题,这个浏览器居然仍然还能正常访问?可见这家浏览器厂商也正是为了适应用户的应用环境一点安全底线都没有,这实际上是在害用户!

也许用户也是无奈,因为用户用的有这么多严重安全问题的SSL证书似乎是某个CA签发的,有些用户自己自签的SSL证书问题可能更多,甚至还有用RSA 512位密钥和MD5签名的证书。这触动了笔者决定为用户提供内网专用SSL证书,我们必须急为用户所急,必须解决用户的难题,为用户提供参考国际标准的RSA算法内网SSL证书和参考国密标准的SM2算法内网SSL证书,唯一不同的只能是支持内网IP地址和内部域名,其他技术参数必须遵循相关国际标准和国密标准。

二、 零信技术打造内网SSL证书应用生态

大家可以看到证签内网专用SSL证书顶级根证书的生成日期是2023年6月6日,也就是从去年5月份开始决定为用户签发内网SSL证书,发现事情并没有那么简单,不只是签发一张SSL证书的问题,实际上是一个生态建设问题。不仅需要CA系统能签发内网SSL证书,而且需要浏览器信任和能验证内网SSL证书,同时内网SSL证书也需要支持证书透明。这只是解决了内网SSL证书的供给问题,内网SSL证书同样需要自动化部署,因为有些使用多年的内网Web服务器可能不支持或不方便安装SSL证书,但是内网无法连接互联网,没法采用公网SSL证书自动化管理一样的端云一体解决方案。

大家看到了这些工作,就应该能理解为何我们花了将近一年时间才上线内网SSL证书,我们不仅成功打造了内网SSL证书应用生态所需的所有产品,而且我们还把这个生态开放给全球CA机构,推出了零信浏览器内网SSL证书可信根认证计划,让全球CA都能依据我们制定的内网SSL证书基线要求为全球用户签发内网SSL证书,共同为全球用户解决内网Web流量安全难题。

零信技术打造的内网SSL证书应用生态涉及到CA系统、双SSL证书(SM2算法SSL证书和RSA算法SSL证书)、证书透明日志系统、零信浏览器、零信国密HTTPS加密自动化网关(内网版)等产品,由于国际标准不允许CA机构签发绑定内网IP地址的SSL证书,因为这些内部IP地址谁都可以用,无法验证合法拥有控制权,这就是整个内网SSL证书应用生态的难题所在。

内网SSL证书应用生态

既然国际标准不允许公网信任的根证书签发内网SSL证书,就得有专用于签发内网SSL证书的根证书,我们参考国际标准和国密标准生成了内网专用RSA顶级根证书和SM2顶级根证书密钥(Root Key Ceremony),并从这些顶级根证书签发了内网DV/OV/EV SSL中级根证书,RSA根证书采用2048位公钥,而不是4096位,主要是考虑到可能某个内网服务器系统版本很老而不支持4096位,2048位已经能保证密钥安全。而用户证书采用的符合国际标准的2048位公钥和SHA-256签名,其他证书字段当然都是符合国际标准的。国密SM2根证书和用户证书都采用SM2算法,各个证书字段都参考国际标准。

第一个难题就是如何验证内网IP地址和内部域名,这个全球没有先例。我们必须研究和探索一个可行的方案。经过反复研究和测试,我们拿出了一个可行的解决方案:证书CN字段必须绑定一个公网域名,此公网域名必须按照国际标准完成域名控制权验证,包括指定管理员邮箱验证、CNAME域名验证和Web文件验证,完成了CN字段域名的验证,用户才可以在SAN字段添加内网IP地址、内网主机名和内网域名,这些内网IP地址和内部域名无需验证,但只要是SAN字段中有公网域名和公网IP地址则都需要按照国际标准完成验证。CN字段要求必须绑定一个公网域名的目的是为了确认这张内网SSL证书属于谁,谁有权拥有这张内网SSL证书。当然,推荐用户申请内网OV/EV SSL证书,证书主题中O字段锁定单位名称,这就更能证明这张绑定某个无法验证的内网IP地址或内网主机名是某个单位在使用,以保障内网SSL证书的安全可信。

内网SSL证书的验证问题解决了,第二个难题是证书透明支持。从2013年开始,每一张全球信任的国际算法SSL证书都支持证书透明,内网SSL证书是否也应该支持呢?答案是当然应该支持。但如何支持证书透明,这又是一个摆在我们面前的难题,因为我们只有采用国密算法实现的国密证书透明日志系统,仅支持SM2算法SSL证书,而内网SSL证书也是双SSL证书,一张RSA算法SSL证书和一张SM2算法SSL证书。经过研究和实验,我们最终选择了继续使用零信国密证书透明日志系统来同时为内网SM2算法SSL证书和内网RSA算法SSL证书提供证书透明服务,实现每一张内网SSL证书都提交到零信国密证书透明日志系统实现证书透明公示,这是全球独家率先实现了RSA算法SSL证书提交到国密算法证书透明日志系统获取国密算法SCT签名数据,并内嵌在内网SSL证书中,实现了双SSL证书的签发的全透明。

这就引出了第三个需要解决的难题,必须有浏览器信任内网SSL证书,包括RSA算法SSL证书和SM2算法SSL证书,同时必须有浏览器能验证内嵌在内网SSL证书中的国密证书透明日志签名数据。零信浏览器就承担了这个任务,零信浏览器不仅预置和信任证签内网SSL根证书,而且全球独家率先实现了验证RSA算法SSL证书的国密SCT签名数据,这又是一个技术创新。

也就是说,零信技术全球独家率先实现了国密算法证书透明日志系统同时支持SM2算法、RSA算法和ECC算法签发的SSL证书,目前的国际证书透明日志系统的签名密钥是采用ECC算法实现数字签名SCT数据,并且仅支持RSA算法和ECC算法签发的SSL证书。零信技术让每一张内网SSL证书像公网SSL证书一样透明备案公示,有力保障内网SSL证书的自身安全可信。

第四个难题是内网SSL证书自动化,由于内网无法连互联网,无法采用公网SSL证书的自动化管理技术方案,唯一可行的方案是在内网部署网关,由网关实现内网SSL证书的自给、自动化部署和自动化实现HTTPS加密,并且是自适应加密算法,支持国密算法的零信浏览器采用国密算法实现国密HTTPS加密,不支持国密算法的其他浏览器采用RSA算法实现HTTPS加密。零信国密HTTPS加密自动化网关内网版仍然在研发和内测中,这是内网SSL证书应用生态中唯一一个还在研发中的产品。

三、内网SSL证书应用生态,保障内网Web流量安全

内网Web流量安全需要内网SSL证书,但是这不是一个简单的签发一张SSL证书的问题,而是要打造一个生态。零信技术在已经成功打造国密证书透明生态和国密证书自动化管理生态的基础上,又成功打造了第三个生态—内网SSL证书应用生态,用户可在证签官网选购1-5年有效期的内网SSL证书,买5年期内网SSL证书,用户拿到的就是5年有效期的双SSL证书,实现一次安装,5年内网Web流量HTTPS加密安全。内网SSL证书支持多达1000个内网IP、内网主机名、内网域名、公网IP和公网域名,全部都是双算法(RSA/SM2)双SSL证书,双证书都支持国密证书透明。

内网SSL证书应用生态的另一个重要产品是零信浏览器,信任证签内网SSL证书,优先采用国密算法实现HTTPS加密。一旦安装了零信浏览器,则其他浏览器也同时信任证签内网RSA算法SSL证书,用户仍然可以用这些浏览器实现RSA算法的HTTPS加密访问内网Web系统。

欢迎申请证签内网SSL证书,有完全免费的90天双证书和收费的1-5年证书有效期双证书。欢迎使用完全免费的国密浏览器-零信浏览器,切实保障内网Web流量安全,保障内网重要信息系统的机密信息安全。

有诗为证:

内网流量很机密,明文传输必泄密。
安全加密是关键,乱用证书不靠谱。
内网服务器证书,参照标准严签发。
零信浏览器信任,证书安全有保证。